簡體 English 中英

用戶特定資源的 ETag

[英]ETags for user-specific resources

原文 2019-11-05 09:23:29 3 1 rest/ http/ caching/ http-headers/ etag

我們在 REST API 中將ETag標頭用於條件請求。 有些資源根據當前認證的用戶有不同的內容（有些用戶看的多，有些用戶看的少）。 ETag當前是在“完整”資源上計算的，即所有用戶都獲得相同的ETag ，除非整個資源發生變化。 這不是問題，除非客戶端跨用戶會話緩存資源的ETag ，這似乎發生在瀏覽器中。 然后第二個用戶將看到第一個用戶的資源的緩存版本，因為服務器告訴客戶端/瀏覽器它沒有更改。 如果允許第一個用戶看到的內容多於第二個用戶，這甚至會變成一個安全問題。

我在互聯網上搜索，但沒有找到任何有關ETag和用戶會話的信息。 是否有任何最佳實踐或建議如何處理此類情況？

1 個解決方案

這不僅僅是一種最佳實踐——如果資源的表示不同，該標准要求您發送唯一的 ETag：

“強驗證器”[例如 ETag] 是表示元數據，每當表示數據發生更改時，該元數據就會更改值，這些更改將在對 GET 的 200（OK）響應的有效負載主體中可觀察到。強驗證器是唯一的隨着時間的推移，跨越與特定資源關聯的所有表示的所有版本。

而且您提到的瀏覽器緩存問題實際上要嚴重得多，因為中間緩存也可以存儲數據，然后不恰當地向全世界的人們提供這些數據。

所以答案很簡單——為數據的每個不同表示計算一個唯一的 ETag。

REST-保持“相同結果”與用戶特定結果

[英]REST - maintaining “same result” vs. user-specific result

是否應從經過身份驗證的REST API端點返回用戶特定的屬性？

[英]Should user-specific properties be returned from an authenticated REST API endpoint?

用於登錄用戶特定資源的良好URI設計

[英]Good URI design for logged in user specific resources

屬於特定用戶的資源的 REST URI 設計

[英]REST URI Design for resources that belong to a specific user

是否有特定的 REST API 用於獲取服務帳戶下特定用戶的用戶角色以檢查用戶是否可以訪問資源？

[英]Is there a specific REST API for getting user roles for a specific user under a service account to check if the user can access resources?

[英]ETags and collections

用戶提供的RESTful安全資源

[英]RESTful secure resources by user

REST API的用戶資源

[英]User Resources for REST API

如何生成和配置 ETag？

[英]How ETags are generated and configured?

REST API-通用或特定資源

[英]REST API - Generic or specific resources

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 REST-保持“相同結果”與用戶特定結果是否應從經過身份驗證的REST API端點返回用戶特定的屬性？用於登錄用戶特定資源的良好URI設計屬於特定用戶的資源的 REST URI 設計是否有特定的 REST API 用於獲取服務帳戶下特定用戶的用戶角色以檢查用戶是否可以訪問資源？ ETag和集合用戶提供的RESTful安全資源 REST API的用戶資源如何生成和配置 ETag？ REST API-通用或特定資源

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM